Especialistas em cibersegurança apontam falhas estruturais nos sistemas de alerta da Defesa Civil
Invasão expõe risco de perda de confiança da população em mensagens oficiais de emergência
Caso reforça necessidade de monitoramento contínuo e resposta rápida a incidentes em plataformas críticas
Captura de tela de um iPhone mostrando uma notificação atribuída à Defesa Civil com a mensagem "Defesa Civil: misantropi4", enviada às 1h37 deste sábado (20).
Celulares de moradores de diferentes regiões do Brasil receberam, na madrugada deste sábado (20), mensagens sonoras de alerta extremo atribuídas ao sistema Defesa Civil Alerta, usado normalmente para avisos sobre temporais e ventanias. Em alguns aparelhos, apareceu apenas a palavra misantropia. Em outros, surgiram textos desconexos, com erros de escrita e som diferente do padrão habitual.
Ainda durante a madrugada, o Ministério da Integração e do Desenvolvimento Regional informou que acionou a Polícia Federal para apurar a invasão da plataforma responsável pelo disparo dos alertas. Segundo a pasta, o sistema foi retirado do ar por volta de 1h30 depois que um terceiro, sem autorização, comandou remotamente o envio das mensagens.
O ministério afirmou haver indícios de ataque hacker e disse que a Secretaria Nacional de Proteção e Defesa Civil só vai restabelecer a plataforma após a confirmação das condições de segurança.
O episódio repercutiu entre especialistas em cibersegurança ao longo do dia.
Repercussão entre especialistas
Para Ricardo Dastis, especialista em cibersegurança da Scunna, empresa com mais de 35 anos de atuação no setor, a invasão à plataforma da Defesa Civil Nacional expõe riscos para uma infraestrutura digital que deveria proteger a população. Segundo ele, o episódio chama atenção porque não envolve apenas uma falha tecnológica, mas um impacto na confiança da população em sistemas de proteção pública.
Na avaliação de Dastis, o disparo indevido de um alerta extremo para moradores de diferentes estados, na madrugada deste sábado, com mensagens sem relação com situações reais de emergência, expõe vulnerabilidades em plataformas governamentais. Ele cita ainda o risco de perda de confiança da população em mensagens oficiais, a necessidade de protocolos de monitoramento contínuo em ambientes críticos e o desafio permanente de fortalecer prevenção, detecção e resposta a incidentes em empresas e órgãos públicos.
Hipótese de uso de credencial vazada
Para Glauco Sampaio, CEO da Beephish, as informações disponíveis até agora indicam que um invasor teria identificado uma credencial de acesso ao sistema vazada junto com outras credenciais do mesmo usuário por um stealer, programa malicioso usado para roubar senhas e revendê las na Deep Web.
Segundo Sampaio, essa credencial teria sido usada para acessar o sistema e fazer o disparo das mensagens. Ele afirma que, ao que tudo indica, a plataforma não exigia troca periódica de senha nem possuía segundo fator de autenticação, condições que teriam facilitado o uso da credencial pelo invasor.
Sampaio cita ainda que circula nos grupos de cibersegurança um vídeo, publicado em uma rede social, no qual uma pessoa aparece realizando o disparo das mensagens, mas reforça que essa autoria não está confirmada e que qualquer conclusão depende de investigação forense formal a ser conduzida pelos responsáveis pelo sistema.
Na leitura do executivo, o episódio também expõe uma lacuna de conscientização sobre gestão de risco humano. Para ele, pessoas com acesso a sistemas críticos, capazes de gerar pânico em larga escala caso comprometidos, precisam adotar cuidados preventivos, como a troca periódica de senhas, independentemente de exigência formal da plataforma.
Sampaio voltou a destacar que as informações sobre a origem do ataque ainda são extraoficiais e que apenas um laudo técnico formal poderá confirmar o modo de operação usado pelo invasor.
O que aponta a investigação técnica
Um levantamento técnico da TI Safe sobre o episódio indica que o cenário mais provável não é um ataque isolado de SMS, mas o uso indevido de um caminho legítimo de disparo, como o comprometimento de uma conta, sessão ou estação operacional ligada à Interface de Divulgação de Alertas Públicos, plataforma do Ministério da Integração e do Desenvolvimento Regional que centraliza o envio de avisos por SMS, Cell Broadcast, Telegram e WhatsApp, entre outros canais.
Segundo o levantamento, a hipótese ganha força porque combina relatos de invasão e disparo remoto, o desligamento da plataforma central após o incidente, a capacidade regulamentada do sistema de enviar alertas automaticamente por todos os meios disponíveis, e o impacto simultâneo em múltiplos canais e regiões. Caminhos como roubo de credenciais por phishing, sequestro de sessão autenticada e uso de programas que capturam dados de acesso aparecem como os métodos mais comuns para esse tipo de comprometimento.
A análise também avalia cenários alternativos, como o abuso da infraestrutura de telecomunicações para falsificar remetentes de SMS e o uso de estações-base falsas para forjar alertas de Cell Broadcast, mas considera ambos menos compatíveis com a escala nacional e multicanal observada no episódio.
Siga o Times Brasil no Google e receba as principais notícias do Brasil e do Mundo.
Sobre o uso de inteligência artificial no ataque, a avaliação técnica de cibersegurança aponta que a tecnologia pode ter funcionado como apoio em etapas como criação de páginas falsas ou automação de tarefas, mas não há indício público de que tenha sido decisiva para o disparo dos alertas.
Reforço sobre uso de credencial vazada
Segundo o que circula como informação extraoficial em grupos de discussão de cibersegurança, a hipótese mais aceita até o momento é a de um invasor que localizou a credencial de acesso ao sistema em um fórum especializado na venda de dados obtidos por stealers. Segundo ele, essa senha teria sido vazada meses antes do episódio.
De acordo com Sampaio, com a credencial em mãos, o invasor conseguiu acessar um sistema sem segundo fator de autenticação habilitado, com permissão para disparar mensagens tanto por SMS quanto pelos alertas sonoros que tocam diretamente no aparelho do usuário. Para ele, não houve indício de exploração de vulnerabilidade técnica ou falha sistêmica, mas sim reaproveitamento de uma credencial já comprometida.
Chama atenção o fato de que o mesmo acesso, sem segundo fator de autenticação e sem rotina de troca periódica de senha, poderia ter sido usado para gerar um alarme com potencial de causar dano maior à população, e não apenas a exibição de uma palavra isolada.
Para Sampaio, o episódio reforça a necessidade de capacitação contínua de administradores e usuários com acesso a sistemas críticos, com atenção à troca periódica de senhas, à adoção de segundo fator de autenticação e à responsabilidade individual sobre os impactos que um acesso comprometido pode gerar para a sociedade.
Anatel
Em postagem no X, a agência nacional de telecomunicações (Anatel), afirmou não haver, neste momento, “qualquer motivo para preocupação por parte da população em decorrência das mensagens recebidas”.
📌 ONDE ASSISTIR AO MAIOR CANAL DE NEGÓCIOS DO MUNDO NO BRASIL:
🔷 Canal 562 ClaroTV+ | Canal 562 Sky | Canal 592 Vivo | Canal 187 Oi | Operadoras regionais
🔷 TV SINAL ABERTO: parabólicas canal 562
🔷 ONLINE: www.timesbrasil.com.br | YouTube
🔷 FAST Channels: Samsung TV Plus, LG Channels, TCL Channels, Pluto TV, Roku, Soul TV, Zapping | Novos Streamings
Jovem trabalhou disfarçada em uma rede de cafeterias antes de abrir seu próprio café de matcha 
